EU-regler kræver knofedt og opgør med usund datakultur

Virksomhedens CFO står ofte i spidsen for arbejdet med at gøre organisationen klar til de kommende GDPR-regler og bør tage indsatsen særdeles alvorligt – både for virksomhedens omdømmes skyld og for at undgå de meget store bøder, der kan komme i spil, hvis persondatabehandling, sikkerhed og dokumentation ikke lever op til de nye krav.

GDPR: Nye EU-regler kræver knofedt

Foto: Colourbox

- Jeg hører undertiden CFO'er og CIO'er sige, at persondataforordningen nok ikke kommer til at betyde så meget for deres virksomhed, for de gemmer alligevel kun løndata, og dem har de fint styr på, siger Lars Jacobsen. Ud over at være chefredaktør på Computerworld er han hyppigt ordstyrer på konferencer og erfagruppemøder om bl.a. GDPR – den forkortelse, EU's kommende persondatakompleks også er kendt under – og han advarer mod at tage helt så let på regelsættet.

- Jeg plejer at spørge retur, om de så også har overblik over hvert eneste fritekstfelt i CRM- eller HR-systemet? Om sekretæren aldrig har sendt fællesmail rundt om, at Camilla overtager Lars-Eriks opgaver under hans langtidssygemelding? Om de uden videre kan identificere og slette persondata overalt i deres systemer? Om hvor meget af det her de overhovedet kan dokumentere, tilføjer Lars Jacobsen.

Processer og dokumentation skal være på plads
GDPR træder i kraft 25. maj 2018 og stiller en række vidtgående krav til bl.a. registrering, sikring og behandling af personfølsomme data og krav om, at man kan dokumentere, at man lever op til de mange nye krav. Regelkomplekset er desuden kendt – eller berygtet – for, at en virksomhed kan blive idømt en bøde på op til fire procent af den globale omsætning, hvis man tages i grove overtrædelser eller forsømmelser. Kombinationen af den potentielt meget store bøde og dokumentationskravet gør, at ansvaret for virksomhedens GDPR-indsats ofte ligger hos CFO’en.

Efter 25. maj vil der dog være en overgangsperiode af ikke nærmere bestemt varighed, hvor myndighederne udviser betydelig fleksibilitet. Så selv om risikoen for kæmpebøder på sigt kan – og bør – give grå hår på hovedet hos en CFO eller to, er det ikke bøderne, man skal være allermest mest bekymret for i allerførste omgang. Det vurderer Bo Bay, direktør for EG's GPDR-program.

Ikke nok, at it-systemer og leverandører understøtter GDPR
- Vi får rigtig mange henvendelser fra vores kunder om, hvordan de skal forholde sig, og om, hvordan vi behandler deres data. Det er tidskrævende, men et sundhedstegn. For som CFO bør du arbejde særdeles målrettet med at blive GPDR-compliant. Er du ikke allerede i gang, er det på tide. I første omgang for virksomhedens kunders, medarbejderes og omdømmes skyld, og dernæst fordi bøderne på et senere tidspunkt vil begynde at falde. Det er der slet ingen tvivl om. Og er du som CFO ikke selv teknisk stærk nok til at lede indsatsen, skal du nedsætte en betroet medarbejder- eller projektgruppe, som kan lede arbejdet og rapportere om fremdriften, herunder om virksomhedens primære systemleverandører og databehandlere lever op til kravene, siger Bo Bay.

- Det er også værd at huske på, at der vil gå en del tid, før alle dine it-systemer understøtter GDPR, og man skal ikke blot lægge indsatsen an på, at det klarer leverandører og it-løsninger nok. For selv hvis en løsning er compliant og kan automatisere fx behandling og anonymisering af persondata, er du stadig nødt til at have lavet en del benarbejde internt i virksomheden. Blandt andet for at identificere, hvilke data der skal behandles, og hvilke processer der skal automatiseres i den forbindelse, tilføjer han.

”Du bliver ikke 100 % klar – så tag fat på de vigtigste områder først”
Bo Bay anbefaler under alle omstændigheder, at man prioriterer indsatsen, så det er muligt at identificere og arbejde målrettet med de primære områder i virksomheden, hvor personfølsomme data gemmes og behandles. Det er også en god idé at alliere sig med fx brancheforeninger og hovedorganisationer, såsom DI eller DA, der arbejder målrettet med området og har udarbejdet en lang række råd og vejledninger til medlemsvirksomhederne.

- GDPR er et omfattende regelkompleks. Og skal jeg være helt ærlig, så er det nok kun de allerfærreste virksomheder over en vis størrelse, som når at blive 100 % compliant inden den 25. maj. Man kan – og bør! – derimod kunne komme meget langt med at håndtere de primære indsatsområder i rette tid for dernæst at tage fat på resten. For på et eller andet tidspunkt begynder myndighederne at gennemføre audits, og så falder hammeren, hvis man bliver udvalgt, og alt sejler, forudser Bo Bay.

Bo Bay erkender, at GDPR kommer ubelejligt for mange virksomheder og vil kræve ressourcer og tid, som de fleste CFOs givetvis kunne bruge på andre formål.

- På den anden side er selve sigtet med GDPR egentlig ganske fornuftigt. Der er fx ingen tvivl om, at forordningen spiller en stor, positiv og nødvendig rolle i arbejdet med at få sat fokus på både it-sikkerhed og behandling af persondata, bemærker Bo Bay.

Nødvendigt at gøre op med wild west-datakultur
Den vurdering deles af Lars Jacobsen fra Computerworld, som – i lighed med Bo Bay – påpeger, at GDPR-indsatsen langtfra kun er en systemøvelse i virksomheden.

- Det handler i meget høj grad om virksomhedskultur og om, hvem der arbejder med data, hvordan de arbejder med dem, og hvad der bliver gemt. Hidtil har virksomheder jo vanemæssigt registreret alt muligt om kunder, potentielle kunder, nuværende og tidligere medarbejdere og så videre. Det har ikke kostet noget at have liggende, så hvorfor bruge kræfter på at slette og sortere? Det er tit ren wild west, siger han.

- Men det slutter nu. Fremover skal du have et skarpt defineret formål med at gemme persondata. Du skal definere, hvem der har adgang til de her data, og du skal kunne slette dem, når der ikke er brug for dem længere – eller hvis personen beder om at blive slettet eller anonymiseret. Der skal også være en helt klar beslutnings- og ansvarslinje for den samlede procedure gennem hele organisationen fra supporteren og hele vejen op til CFO'en. Dertil kommer jo, at alt skal kunne dokumenteres i detaljer, tilføjer Lars Jacobsen.

Han vurderer dog, at det er overkommeligt at nå meget langt inden den 25. maj, hvis blot virksomheden lægger en gennemførlig plan, definerer ansvarsområder og kommer i gang med det praktiske arbejde.


At komme for sent i gang med GDPR-indsatsen er som at bestille vinterdæk i frostvejr, mener Lars Jacobsen, chefredaktør for Computerworld. Foto: Presse

Forsinket indsats er som at bestille vinterdæk i frostvejr
- Det er en stor opgave, men generelt er der faktisk ingen grund til panik, hvis din virksomhed arbejder målrettet efter de databeskyttelsesregler, der gælder i dag. Så er fundamentet på plads, og I vil med en overkommelig ekstraindsats kunne opfylde de væsentligste krav til maj. Venter I derimod alt for længe med at sætte GDPR-arbejdet i gang, er der lige så minimal chance for at komme i mål som at få hurtig tid til montering af vinterdæk, hvis du først ringer til værkstedet, når frosten sætter ind, konstaterer Lars Jacobsen.

- Og som CFO har du absolut ikke lyst til at få virksomheden udtrukket til audit, hvis der ikke er styr på tingene. Eller at blive mål for fx et hackerangreb, der blotlægger ulovlig omgang med persondata. Dels – og det er jo oplagt! – for virksomhedens og dens kunders skyld. Dels fordi det givetvis ikke er karrierefremmende at være ansvarlig for at have nedkaldt offentlig skandale og millionbøder over sin arbejdsgiver, afslutter han.

Tilmeld dig nyhedsbrev

Få værdiskabende artikler, værktøjer og inspiration - direkte i din indbakke.

Annonce

EU-GDPR

Hvorfor:
EU's persondataforordning (GDPR) har til formål at sikre borgere, slutkunder og brugeres data blandt andet for at forebygge cyberkriminalitet – men også for at regulere virksomheders kommercielle udnyttelse af persondata.

Hvordan:
EU-GDPR indeholder regler om, hvornår og hvordan personoplysninger kan og må behandles, hvilke pligter man har som dataansvarlig og databehandlere, og hvordan man skal dokumentere sin brug af persondata. Fx:

  • Krav om løbende risikovurdering og compliance
  • Mulighed for myndighedsinspektion
  • Krav om rapportering inden for 72 timer efter et datalæk
  • Mulighed for at udstede bøder på op til 20 millioner euro eller fire procent af den dataansvarlige virksomheds globale omsætning.

Målet er at styrke tilliden til udbydere af services og produkter, som i større eller mindre grad bygger på indsamling af personlige data, som i mange tilfælde vil have en digital komponent.

Reglerne handler altså ikke om industrispionage eller tyveri af produktinformationer eller intellektuelle rettigheder.

Hvornår:

  • EU-GDPR blev aftalt i december 2015
  • Trådte formelt i kraft i maj 2016
  • Det nye regelsæt får virkning fra maj 2018
Annonce